操作系统安全是信息系统安全的基石。40多年来，安全操作系统得到了长足的发展，并在访问控制框架和安全模型方面均取得了丰硕的成果。但是，纵观安全操作系统的发展历史，可以发现安全操作系统的主要应用范围仍然是在国防和军事领域，在商用和民用领域尚未有成熟的安全操作系统出现。迄今为止，在整个国际上，安全操作系统的应用并不成功，在实际应用中发挥作用的操作系统绝大部分不是安全操作系统。究其本质，一方面，安全操作系统还存在诸多不完善的地方。另一方面，随着基于互联网的应用系统不断增多，人们所面临的安全问题也与日俱增，传统的信息安全解决不了当前面临的复杂安全问题，需要构建新一代适应信息发展需求的可信计算环境。 本论文回顾安全操作系统的发展历程，结合当前安全操作系统的现状，剖析了安全操作系统存在的主要问题。以可信计算技术为背景提出了可信操作系统概念。并对可信操作系统的体系结构、引导过程、自身完整性测量、用户登录过程、时间适应的通用动态多安全政策支持框架、用户行为可信及客体可信等问题进行了深入研究并取得了如下成果： 1．对“可信操作系统”概念的研究以安全操作系统和可信计算技术为基础，明确定义了可信操作系统的概念，指出可信操作系统是能够通过支持多种安全政策来适应环境变化，并保证在系统中的本地或远程实体的行为总是以预期的方式和意图发生的，客体内容是真实、保密和完整的，以及自身完整性的操作系统。分析了可信操作系统的内涵和特点以及可信操作系统与安全操作的关系。从分析可以看出，可信操作系统和安全操作系统是有联系的，安全操作系统是可信操作系统的基础，安全操作系统中的安全模型和访问框架同样适合于可信操作系统。而可信操作系统与安全操作系统又是不同的，可信操作系统研究的是如何为用户提供一个可信的计算环境，而安全操作系统研究的是如何为用户提供一个基础安全平台。“可信”的内涵和外延均包括了“安全”[TAN2006a]。 2．对可信操作系统完整性度量的研究在分析普通操作系统引导流程的基础上，研究了可信操作系统的可信引导过程。文中将可信操作系统的引导流程分成两个阶段：一是可信硬件引导流程；二是操作系统可信启动流程。并指出了可信操作系统整个引导流程中存在的问题。为此，提出了一种新的可信引导过程一并行可复原可信引导过程，即在主机CPU与可信硬件之间采用并行工作方式，并支持被验证组件代码的备份和恢复。然后利用通道技术设计和实现了这一引导过程。对此引导过程进行的安全性分析和性能分析表明，该引导过程可以使计算机获得更高的安全保障，为进一步建立可信计算环境提供了基础[TAN2006b，TAN2006e]。 3．对可信操作系统用户登录认证方式的研究传统主流操作系统用户登录认证方式有如下缺陷：(1)存储不可信问题。口令、密钥或特征码等这些在认证过程中需要的数据信息存放在存在安全隐患的地方，如：操作系统的文件系统中，尽管实施了保护，但保护力度是不够的，(2)单向认证问题。即只能操作系统验证用户，而用户不能验证操作系统。文中提出了一种新的用户登录认证方式：基于可信硬件的用户登录可信认证。该认证方式将用户的身份信息、相关的密钥信息等存储在可信硬件中，并利用USBKEY技术、动态的口令技术来确保用户身份的真实可信。克服了操作系统用户登录传统认证方式的缺陷，支持双向认证。较好地解决传统主流操作系统面临的用户登录认证问题[TAN2007a]。 4．对可信操作系统中用户行为监管的研究“开域授权”和“内部攻击”成为了各类信息流失事件的主要行为模式。内部用户利用“开域授权”和“内部攻击”形成Insider Threat的危害性远远大于Outsider Threat。可信操作系统必须考虑对内部用户行为的监管。文中分析了操作系统中用户行为的特征及其描述方法，提出了一种基于用户行为树的用户行为监管模型，该模型依据操作系统行为树来分析用户在操作系统中可能存在的“开域授权”和“内部攻击”行为踪迹，根据用户行为的层次性来实现对用户行为的监管。其间采用了基于行为树的不良行为过滤算法，可以有效防止合法用户的“开域授权”和“内部攻击”行为，保证用户行为的可信性，是传统访问控制理论的有益补充[TAN2006f]。 5．对可信操作系统中可信客体的研究安全操作系统在处理客体时存在不足，而且不能保证客体内容的真实性，文中首先分析了操作系统中客体的类型，将客体分为静态客体和动态客体，提出可信静态客体、可信动态客体和可信客体的概念，并分析了可信客体的特点以及与安全客体的关系[TAN2007b]。为了保证可信静态客体内容的真实性，提出了基于可信硬件的静态客体可信验证系统(TASSOBT)。该系统通过可信静态客体的映像文件来记录可信静态客体的来源、处理行为和内容变化的签名，并存于可信硬件中。解决了安全操作系统对静态客体处理存在的缺陷。[TAN2007 c]。为了阻止黑客利用动态客体进行欺骗和中间人攻击，防止信息泄露，提出了基于可信硬件的可信动态客体监管系统(MSTDOBT)。该系统可以保证主体和可信动态客体之间进行双向身份认证。解决了安全操作系统在处理动态客体时存在的缺陷[TAN2007d]。TASSOBT和MSTDOBT为进一步建立可信计算环境提供了基础。 除上述工作外，本论文还对可信操作系统的其他安全保障技术进行了研究和探讨，主要集中在以下两个方面： 1．公开密钥基础设施证书撤消机制的研究网络中终端可信需要证明。可信计算的技术基础是公开密码技术，并采用了多种证书实现证明。随着证书规模增加，大规模证书撤消列表(CRL)的维护是一个最为棘手的问题。文中提出两个CRL发布新模型：CRL分段．过量发布综合模型和CRL增量．过量发布综合模型。分段-过量发布综合模型采用先将CRL(Certificate Revocation List)分段，然后各段独立过量发布的方式来实现。该方式既可以减少CRL的长度，使存储库以更快的速度提供请求服务，又可以降低峰值请求率、峰值带宽和平均负荷，减少时间碎片。虽然分段．过量模型的平均请求率比过量模型大，只要合理确定和调整参数O和S，就可以把平均负荷和峰值带宽控制在要求的范围内。增量-过量发布综合模型采用将Delta-CRLs的Base CRL过量发布来实现。该方式既可以减小信任方下载的CRL大小，改善了响应时间，减少时间碎片；又可以降低对Base CRL峰值请求率，从而降低对存储库的峰值带宽和平均负荷。而且，增量-过量发布综合模型优于传统模型和增量模型，但其发布性能依赖于PKI系统的证书有效期、证书吊销率、Delta CRL的颁发周期和时间跨度。Delta CRL的颁发周期越长，时间跨度越大，证书吊销率越高，证书有效期越短，过量发布Base CRL所带来的性能优化就越小。因此，增量-过量模型适合于在Delta CRL的颁发周期和时间跨度较短、证书吊销率不高、证书有效期较长的大型PKI系统中。[TAN2005a，TAN2005b]。 2．对安全需求体系结构描述语言的研究传统的体系结构描述语言没有专门针对安全需求的构件、连接件和体系结构风格的描述，因此，在体系结构层次上描述安全需求还比较困难。文中提出了一种基于XML的安全需求体系结构描述语言-XSSRA/ADL，它引入了安全构件、半安全构件、安全连接件、半安全连接件等设计单元，不仅能够描述安全需求的体系结构，而且也较好地解决了软件系统中业务需求与安全需求在高层的交互和依赖关系。另外，XSSRA/ADL采用数据互操作标准XML作为元语言，这使得它具有与其他ADL的互操作性，并便于支持系统的精化和演化。[TAN2006e]。